ネットワーク境界を使用して Microsoft Intune で Windows デバイスに信頼済みサイトを追加する

Microsoft Defender Application Guard と Microsoft Edge を使用する場合は、組織が信頼していないサイトから環境を保護できます。 この機能は、ネットワーク境界と呼ばれます。

ネットワーク バインドでは、ネットワーク ドメイン、IPV4 および IPv6 範囲、プロキシ サーバーなどを追加できます。 Microsoft Edge の Microsoft Defender Application Guard は、この境界内のサイトを信頼します。

Intune では、ネットワーク境界プロファイルを作成し、このポリシーをデバイスに展開できます。

Intune での Microsoft Defender Application Guard の使用の詳細については、「 Windows クライアント設定」を参照して、Intune を使用してデバイスを保護します。

この機能は、以下に適用されます。

• Intune に登録されている Windows 11 デバイス
• Intune に登録されている Windows 10 デバイス

この記事では、プロファイルを作成し、信頼済みサイトを追加する方法について説明します。

はじめに

• ポリシーを作成するには、少なくとも、ポリシーとプロファイル マネージャーの組み込みロールを持つアカウントで Microsoft Intune 管理センターにサインインします。 組み込みのロールの詳細については、「 Microsoft Intune のロールベースのアクセス制御」を参照してください。
• この機能では、NetworkIsolation CSP に関するページを参照してください。

プロファイルを作成する

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

3. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [テンプレート>ネットワーク境界] を選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は Windows-Contoso のネットワーク境界です。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

6. [次へ] を選択します。

7. [構成設定] で、次の設定を構成します。

   • 境界の種類: この設定により、分離されたネットワーク境界が作成されます。 この境界内のサイトは、Microsoft Defender Application Guard によって信頼済みと見なされます。 次のようなオプションがあります。

     • IPv4 の範囲: ネットワーク内のデバイスの IPv4 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
     • IPv6 の範囲: ネットワーク内のデバイスの IPv6 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
     • クラウド リソース: 保護するクラウドでホストされている組織リソース ドメインのパイプ区切り (|) の一覧を入力します。
     • ネットワーク ドメイン: 境界を作成するドメインをコンマで区切ったリストを入力します。 これらのドメインのデータは、デバイスに送信され、組織データと見なされて保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。 たとえば、「contoso.sharepoint.com, contoso.com」と入力します。
     • プロキシ サーバー: プロキシ サーバーをコンマで区切ったリストを入力します。 このリスト内のプロキシ サーバーはインターネット レベルであり、組織内部のものではありません。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
     • 内部プロキシ サーバー: 内部プロキシ サーバーのコンマ区切りリストを入力します。 これらのプロキシは、クラウド リソースを追加するときに使用されます。 これらにより、トラフィックは一致したクラウド リソースに強制されます。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
     • ニュートラル リソース: 仕事用リソースまたは個人用リソースに使用できるドメイン名のリストを入力します。

   • 値: リストを入力します。

   • その他のエンタープライズ プロキシ サーバーの自動検出: [無効] に設定すると、デバイスでは、リスト内にないプロキシ サーバーを自動的に検出できなくなります。 デバイスでは、プロキシの構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

   • その他のエンタープライズ IP アドレス範囲の自動検出: [無効] に設定すると、デバイスでは、リスト内にない IP アドレス範囲を自動的に検出できなくなります。 デバイスでは、IP アドレス範囲の構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

8. [次へ] を選択します。

9. スコープ タグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

   [次へ] を選択します。

10. [割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次に各デバイスがチェックインするときに、ポリシーが適用されます。

リソース

プロファイルを割り当てた後、必ずその状態を監視します。

Microsoft Defender Application Guard の概要